Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ランサム「Locky」が活動再開か - Wordファイル入りPDFで拡散

2016年に国内でも多数観測されたランサムウェアの「Locky」だが、再びあらたな活動が複数のベンダーによって観測されている。

PhishMeでは、「Locky」の感染を目的としたスパムの拡散を4月21日に確認。今回の感染活動では、従来とは異なり、Officeのマクロファイルを利用。不正送金マルウェアとして知られる「Dridex」の拡散方法と類似していると指摘している。

攻撃に利用されたファイルを解析したKaspersky Labによれば、メールへ添付されていたファイルは、PDFファイルを使用。外部よりファイルをダウンロードするVBAマクロを含むWordファイルがPDFファイルへと埋め込まれていた。

PDFファイルを開くと、Wordファイルが開くしくみで、その際に誤って「編集を有効にする」ボタンをクリックすると、ダウンロードされたランサムウェアによりファイルが暗号化される。暗号化後に追加される拡張子は「.osiris」だった。

今のところ、今回の攻撃キャンペーンで日本語を用いたスパムメールは確認されていないという。しかし、暗号化後に金銭を要求するページは、日本語を含む31カ国語に対応していた。

また今回の攻撃では、国内の一部サーバが踏み台に悪用されていた。問題のサーバは、2016年9月より改ざんされた状態が続いていると見られている。

(Security NEXT - 2017/04/28 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

ランサム「ZeroFucks」「LooCipher」の被害者向けに復号ツール
「No More Ransom」が3周年 - 犯罪収益1.1億ドルを阻止
ランサムウェア「Ims00rry」の無償復号化ツールが公開
9カ国調査、コンシューマーの半数でサイバー被害 - 日本は4割
ランサム「GandCrab」提供者が引退、キー削除か - ベンダーが最新の復号化ツール
ランサムウェア「GandCrab」の復号ツールが機能強化 - 最新版にも対応
過去1年に企業の14.2%が被害を経験 - 8%がランサム被害
メール管理システムがランサムウェア感染 - 神大
脆弱性で感染広げるボットネット「Muhstik」 - 「WebLogic」を標的に
「WebLogic」の脆弱性、ランサムウェアの標的に